一、 漏洞 CVE-2024-1482 基础信息
漏洞标题
GitHub Enterprise Server 中的权限不当,允许未经授权的工作流执行。
来源:AIGC 神龙大模型
漏洞描述信息
我们在 GitHub Enterprise Server 中发现了一个授权错误漏洞,攻击者可以利用这个漏洞在公开存储库中创建新分支,并使用来自 GITHUB_TOKEN 的权限运行任意 GitHub Actions 流程。要利用此漏洞,攻击者需要访问 Enterprise Server。此漏洞影响了 3.8 及以后版本和 3.12 之前的所有 GitHub Enterprise Server 版本,并在 3.9.10、3.10.7、3.11.5 等版本中得到了修复。这个漏洞是通过 GitHub 的 Bug Bounty 计划报告的。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
授权机制不正确
来源:AIGC 神龙大模型
漏洞标题
Improper Authorization in GitHub Enterprise Server allowed unauthorized workflow execution
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An incorrect authorization vulnerability was identified in GitHub Enterprise Server that allowed an attacker to create new branches in public repositories and run arbitrary GitHub Actions workflows with permissions from the GITHUB_TOKEN. To exploit this vulnerability, an attacker would need access to the Enterprise Server. This vulnerability affected all versions of GitHub Enterprise Server after 3.8 and prior to 3.12, and was fixed in versions 3.9.10, 3.10.7, 3.11.5. This vulnerability was reported via the GitHub Bug Bounty program.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
授权机制不正确
来源:美国国家漏洞数据库 NVD
漏洞标题
GitHub Enterprise Server 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
GitHub Enterprise Server是美国GitHub开源的一个应用软件。提供一个将自己的GitHub实例设置为虚拟设备,从而提供可扩展,易于管理的平台。 GitHub Enterprise Server存在安全漏洞,该漏洞源于存在不正确的授权漏洞,允许攻击者在公共存储库中创建新分支。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-1482 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-1482 的情报信息